Driftskvalitet och Azure Virtual Network
Azure Virtual Network är en grundläggande byggsten för ditt privata nätverk och gör det möjligt för Azure-resurser att kommunicera säkert med varandra, internet och lokala nätverk.
Viktiga funktioner i Azure Virtual Network är:
- Kommunikation med Azure-resurser
- Kommunikation med Internet
- Kommunikation med lokala resurser
- Filtrering av nätverkstrafik
Mer information finns i Vad är Azure Virtual Network?
Information om hur Azure Virtual Network stöder driftskvalitet finns i följande avsnitt:
- Övervaka azure virtual network
- Övervaka datareferens för Azure Virtual Network
- Begrepp och metodtips för Azure Virtual Network
Utformningsbeaktanden
Det virtuella nätverket (VNet) innehåller följande designöverväganden för driftskvalitet:
- Överlappande IP-adressutrymmen i lokala regioner och Azure-regioner skapar stora konkurrensutmaningar.
- Även om ett adressutrymme för virtuellt nätverk kan läggas till efter skapandet kräver den här processen ett avbrott om det virtuella nätverket redan är anslutet till ett annat virtuellt nätverk via peering. Ett avbrott krävs eftersom peering för virtuellt nätverk tas bort och återskapas.
- Vissa Azure-tjänster kräver dedikerade undernät, till exempel:
- Azure Firewall
- Azure Bastion
- Virtuell nätverksgateway
- Undernät kan delegeras till vissa tjänster för att skapa instanser av tjänsten i undernätet.
- Azure reserverar fem IP-adresser inom varje undernät, vilket bör beaktas vid storleksändring av virtuella nätverk och omfattade undernät.
Checklista
Har du konfigurerat Azure Virtual Network med driftkvalitet i åtanke?
- Använd Azure DDoS Standard Protection-planer för att skydda alla offentliga slutpunkter som finns i kundens virtuella nätverk.
- Företagskunder måste planera för IP-adressering i Azure för att säkerställa att det inte finns något överlappande IP-adressutrymme över övervägd lokal plats och Azure-regioner.
- Använd IP-adresser från adressallokeringen för privata internet (RFC(Request for Comment) 1918).
- Överväg att använda IPv6 för miljöer med begränsad tillgänglighet för privata IP-adresser (RFC 1918).
- Skapa inte onödigt stora virtuella nätverk (till exempel:
/16) för att säkerställa att det inte finns något onödigt slöseri med IP-adressutrymme. - Skapa inte virtuella nätverk utan att planera det nödvändiga adressutrymmet i förväg.
- Använd inte offentliga IP-adresser för virtuella nätverk, särskilt om de offentliga IP-adresserna inte tillhör kunden.
- Använd VNet-tjänstslutpunkter för att skydda åtkomsten till PaaS-tjänster (Azure Platform as a Service) inifrån ett kund-VNet.
- Om du vill hantera problem med dataexfiltrering med tjänstslutpunkter använder du NVA-filtrering (Network Virtual Appliance) och VNet Service Endpoint Policies för Azure Storage.
- Implementera inte tvingad tunneltrafik för att aktivera kommunikation från Azure till Azure-resurser.
- Få åtkomst till Azure PaaS-tjänster lokalt via privat ExpressRoute-peering.
- Om du vill komma åt Azure PaaS-tjänster från lokala nätverk när VNet-inmatning eller Private Link inte är tillgängliga använder du ExpressRoute med Microsoft Peering när det inte finns några problem med dataexfiltrering.
- Replikera inte lokala perimeternätverk (även kallat DMZ, demilitariserad zon och skärmat undernät) begrepp och arkitekturer till Azure.
- Se till att kommunikationen mellan Azure PaaS-tjänster som har matats in i ett virtuellt nätverk är låst i det virtuella nätverket med hjälp av användardefinierade vägar (UDR) och nätverkssäkerhetsgrupper (NSG).
- Använd inte VNet-tjänstslutpunkter när det finns problem med dataexfiltrering, såvida inte NVA-filtrering används.
- Aktivera inte VNet-tjänstslutpunkter som standard i alla undernät.
Konfigurationsrekommendationer
Överväg följande rekommendationer för driftskvalitet när du konfigurerar ett virtuellt Azure-nätverk:
| Rekommendation | beskrivning |
|---|---|
| Skapa inte virtuella nätverk utan att planera det nödvändiga adressutrymmet i förväg. | Om du lägger till adressutrymme uppstår ett avbrott när ett virtuellt nätverk är anslutet via peering för virtuellt nätverk. |
| Använd VNet-tjänstslutpunkter för att skydda åtkomsten till PaaS-tjänster (Azure Platform as a Service) inifrån ett kund-VNet. | Endast när Private Link inte är tillgängligt och när det inte finns några problem med dataexfiltrering. |
| Få åtkomst till Azure PaaS-tjänster lokalt via privat ExpressRoute-peering. | Använd antingen VNet-inmatning för dedikerade Azure-tjänster eller Azure Private Link för tillgängliga delade Azure-tjänster. |
| Om du vill komma åt Azure PaaS-tjänster från lokala nätverk när VNet-inmatning eller Private Link inte är tillgängliga använder du ExpressRoute med Microsoft Peering när det inte finns några problem med dataexfiltrering. | Undviker överföring via det offentliga Internet. |
| Replikera inte lokala perimeternätverk (även kallat DMZ, demilitariserad zon och skärmat undernät) begrepp och arkitekturer till Azure. | Kunder kan få liknande säkerhetsfunktioner i Azure som lokalt, men implementeringen och arkitekturen måste anpassas till molnet. |
| Se till att kommunikationen mellan Azure PaaS-tjänster som har matats in i ett virtuellt nätverk är låst i det virtuella nätverket med hjälp av användardefinierade vägar (UDR) och nätverkssäkerhetsgrupper (NSG). | Azure PaaS-tjänster som har matats in i ett virtuellt nätverk utför fortfarande hanteringsplanåtgärder med offentliga IP-adresser. |